概述
0x00 前言
慢慢的距离上次写文章已过去了377天,这一年发生了好多好多的事,经历了好多好多的变故,或喜或悲、或分或合、起起落落,整整的一年了得,没怎么好好学习,没怎么认真的钻研技术,对自己表示很抱歉,违背了“白帽守则”,让我们重温一下“白帽守则”:
白帽守则第一页第一条,心中无女人,挖洞自然神。
白帽守则第一页第二条,只有不努力的白帽,没有挖不到的漏洞
对此我深表歉意、望大家以我为戒,踏踏实实的深入贯彻落实“白帽守则”,切实维护祖国网络空间安全。
0x01漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互联网企业都连夜做了应急措施。截至本文发出,斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示,鉴于该漏洞影响范围比较大,业务自查及升级修复需要一定时间,暂不接收 Log4j2 相关的远程代码执行漏洞。
0x02漏洞影响
危险等级
高危
影响版本
Apache Log4j 2.x <= 2.14.1
0x03靶场环境
本次用的是vulfocus和CTF.show搭建好的环境,毕竟自己比较懒,不喜欢搭环境
最后
以上就是矮小向日葵为你收集整理的Apache Log4j2漏洞复现0x00 前言0x01漏洞描述0x02漏洞影响0x03靶场环境0x04漏洞验证与复现0x05参考文献与致谢的全部内容,希望文章能够帮你解决Apache Log4j2漏洞复现0x00 前言0x01漏洞描述0x02漏洞影响0x03靶场环境0x04漏洞验证与复现0x05参考文献与致谢所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复